具有在线智能识别能力的互联网应用行为区分模型

以P2P应用为主要对象的互联网应用行为区分和管理已成为学术界、网络工程界和国家有关部门普遍关心的问题。虽然基于端口、应用层负载和行为特征等方法能在一定程度上区分互联网应用，但随着端口变化、内容加密、行为伪装等技术的出现，传统的方法难以满足当前和未来互联网应用行为区分的需求。由于互联网应用行为的实时性、多变性、易逝性和不可逆性，区分方法的在线识别能力至关重要。本课题以互联网流量分类方法和分类模型为基础，以互联网应用内容分类和互联网应用行为区分为背景，以构造用于解决动态变化的互联网应用行为区分模型为研究目标。在分析现有流量特征、流量数据集、离线智能识别和单点识别方法的基础上，进一步研究标准网络流数据集、在线智能流识别方法、群体行为分析理论，构建具有在线智能识别能力的互联网应用区分模型。研究成果对于分析互联网发展趋势、网络服务质量保证、动态访问控制、网络合法管理和异常行为检测等具有重要的意义。

本课题按照研究计划主要开展具有真实分类标签的互联网流数据集采集与制作方法、互联网流量在线分类特征选择与分析、高效的智能计算方法及并行智能信息处理方法、具有在线智能识别能力的互联网流量区分模型及原型系统、分层式协同流量行为分析方法等几方面的工作。具体的贡献是：（1）针对基础流样本数据采集的需求，基于Window SPI技术设计并实现了一套基于主机的真实流分类标签与数据采集系统，解决了传统的包负载透视工具处理不了加密数据、只能识别协议层面的流类型、手工识别工作量大、准确率难以保证等问题，可提供开放的基础流量数据服务；（2）面向在线流量分类的需求，提出适于在线流量分类的互联网流量特征，分析了特征的概率分布和与应用类别的相关性，通过特征选择获取最优特征子集，达到使用较少的特征有效地进行在线流量的分类，解决了在线分类环境下所需特征的问题；（3）利用柔性神经树（FNT）的自动特征选择能力和高效识别能力，对流量数据进行有效的分类，构建了适应于流量识别的FNT识别模型，并针对Internet流量数据规模庞大的特点，研究了基于MPI的并行FNT分类模型，为实时识别提供了高效可行的在线智能识别模型；（4）开展了具有在线智能识别能力的互联网应用行为区分模型的研究，形成了一个具有一定通用性的在线流量分类环境，实现了对所监测网络流量的在线分类、及时发现新的应用类型、验证分类结果等功能，解决了高速网络环境中数据包抽样条件下基于少数几个数据包进行在线分类等问题；（5）基于FPGA的流量采集器以纯硬件化方式实现，高效灵活地实现了百兆网络环境下对流量的自定义快速采集，利用互联网流的任意连续数据包的简单特征实现流量行为的在线快速识别及分类，形成了一套具有在线智能识别能力的互联网行为区分系统，证明了在线流量智能分类的可实现性；（6）探索基于层次结构的分布式流量分类模型，将 “老鼠流”和“大象流”的分类任务分别处理，采用各分节点对各自分支做出识别分类，中心节点不再进行流量识别，转而负责分类器的离线或在线训练，处理分节点信息，协调和管理各分节点，进行整个分布式分类的整体管理和决策控制，探索一种解决高速流量处理的新思路。